Het is Data Privacy Day vandaag. Een goede gelegenheid om terug te blikken op 2019 en vooruit te kijken naar 2020. Afgelopen jaar is veel gebeurd op het gebied van privacy- en gegevensbescherming. De Autoriteit Persoonsgegevens (AP) heeft, onder meer, haar boetebeleidsregels aangepast, banken erop gewezen betaalgegevens niet ‘zomaar’ te mogen gebruiken voor reclame en het HagaZiekenhuis beboet voor het niet op orde hebben van de interne beveiliging van patiëntendossiers. Verder heeft de CNIL een boete van 50 miljoen euro opgelegd aan Google LLC, is de Herziene Richtlijn Betaaldiensten (PSD2) ingegaan en is het Europees Parlement akkoord gegaan met een standaard certificering voor de veiligheid van Internet of Things-apparaten. Wat kunnen we verwachten van 2020?
De AP gaat de komende jaren drie focusgebieden aanhouden in haar toezicht, namelijk:
Volgens de AP vallen onder deze focusgebieden ook: doorverkoop van data, behavioral advertising, smart cities en microtargeting bij verkiezingen en Internet of Things. Over dat laatste onderwerp schreef Aleid Wolfsen (vz. AP) in december een blog, wat aangeeft dat dit onderwerp in ieder geval duidelijk op het netvlies van de AP staat. De AP stelt dat zij risicogestuurd toezicht houdt, wat impliceert dat zij bij bovenstaande onderwerpen inschat dat daar de grootste risico’s zullen zijn voor betrokkenen de komende jaren.
ePrivacy Verordening
Het doel van de ePrivacy Verordening is het reguleren van privacy in het kader van elektronische communicatie, waaronder het beschermen van metadata van elektronische communicatie. De nieuwe Verordening is onder meer van belang omdat de scope wordt uitgebreid naar onder andere applicaties als WhatsApp en Internet-of-Things-apparaten. Verder bevat het concept nieuwe regels over het plaatsen van cookies en het vragen van toestemming daarvoor, waardoor veel organisaties hun website en het verzamelen van gebruikersdata zullen moeten herzien.
Het laatste tekstvoorstel is aan het einde van 2019 door het Comité van Permanente Vertegenwoordigers (COREPER) weggestemd. Op 21 januari heeft het Kroatische voorzitterschap van de Raad van de EU aangegeven dat zij voort zullen borduren op het werk van het Finse presidentschap en dat zij in februari 2020 met een aangepast tekstvoorstel zullen komen.
Europese AI-regulering
Het Witte Huis heeft Europa verzocht om geen vergaande wetgeving in te zetten voor de regulering van artificiële intelligentie (AI). Na de aanstelling van Ursula von der Leyen als voorzitter van de EC heeft zij, in tegenstelling tot dat verzoek, als doel gesteld om binnen 100 dagen Europese wetgeving te presenteren die de menselijke en ethische implicaties van AI zal reguleren. 100 dagen zijn ondertussen voorbij zonder een voorstel, maar de EC heeft wel aangegeven dat zij op 19 februari “Proposals developing the European approach to Artificial Intelligence” publiceert. Met dat voorstel kunnen we concreter zien hoe de EC de regulering van AI voor zich ziet.
In aanloop naar het voorstel toe is een draft voor een white paper van de EC gelekt en gepubliceerd door Politico. In deze draft worden vijf mogelijke opties geformuleerd voor ‘possible regulatory options’. Naar aanleiding van de draft reageren instanties ietwat paniekerig, omdat één van de genoemde mogelijkheden het verbieden van gezichtsherkenning in de openbare ruimte voor een periode van 3 à 5 jaar is. Een essentiële aantekening is dat de EC duidelijk aangeeft dat deze optie niet de voorkeur geniet voor toekomstige AI-regulering. De EC spreekt wel een voorkeur uit voor een combinatie van de volgende opties:
In oktober 2019 presenteerde minister Dekker in een Kamerbrief een overzicht van de onderwerpen waarop een wijziging van de UAVG zal worden voorbereid. In de brief staat onder andere een explicietere grondslag voor het gebruik van biometrische gegevens voor de identificatie van personen. Verder zijn enkele onderwerpen in overleg bij het kabinet om aan te passen, waaronder een adequate grondslag voor profilering door banken ter voorkoming van fraude en cross-sectorale gegevensdeling ter bestrijding van fraude.
Daarnaast noemt minister Dekker enkele onderwerpen die niet via wetgeving, maar op een andere manier moeten worden aangepakt. Voorbeelden zijn de aansprakelijkheid voor privacy gerelateerde schade, het doorbelasten van AP-boetes, en wetenschappelijk onderzoek waarbij gebruik wordt gemaakt van grote bestaande datasets in relatie tot het toestemmingsvereiste. In 2020 verwacht het kabinet een wijzigingsvoorstel.
De EC bereidt op grond van art. 97 AVG een evaluatie van de AVG voor. In het kader van die evaluatie heeft Nederland input gegeven over o.a.: de registerplicht voor kleine bedrijven, vermijden van extraterritoriale werking van nationale uitvoeringswetten en het ontwikkelen van een standaardformulier voor het melden van datalekken. De EC publiceert voor 25 mei 2020 een evaluatie verslag.
Eind vorig jaar heeft advocaat-generaal (AG) Saugmandsgaard Øe zijn opinie gegeven in de zaak Schrems II. Deze zaak gaat over de Europese overeenkomsten modelcontractbepalingen (SCC’s) waarmee EU organisaties data kunnen delen met landen buiten de EU. In de zaak Schrems II betoogt Schrems dat deze modelcontracten niet voldoende passende waarborgen bieden om data door te geven naar buiten de EU.
De belangrijkste punten uit de opinie van de AG zijn:
Considerati kan uw organisatie ondersteuning bieden op al bovenstaande onderwerpen. Heeft u vragen over een privacy ontwikkeling in 2020, wilt u met ons een gesprek om te zien hoe wij uw organisatie kunnen ondersteunen, neem dan vrijblijvend contact met ons op.